Chrome V8 confusió RCE — Actualitza i postura Zero-DOM

Et queden tres minuts? Llegeix el resum ampliat: quan la compromissió esdevé rutina.

Errors en sèrie, defenses tardanes — Postura Zero-DOM

El 2025 es llegeix com una sèrie d’espionatge on l’atacant sempre va una passa al davant. CVE-2025-2783 al març, CVE-2025-4664 al maig, CVE-2025-5419 al juny i el Chrome V8 zero-day CVE-2025-10585 al setembre. A cada episodi, el mateix patró: torçar prou la memòria per obtenir un punt de suport. Als mercats grisos, una RCE estable supera sovint els 500.000 $. Mentrestant, els defensors compren temps: els pegats arriben quan les campanyes ja estan en marxa.

Chrome V8 zero-day CVE-2025-10585: per què aquest pivot ho canvia tot

Chrome V8 confusió RCE no és un accident aïllat: és el símptoma d’un model on el navegador executa codi no fiable a tocar dels teus secrets. Mentre identitats, sessions i claus travessin el DOM o romanguin a la memòria del navegador, una RCE drive-by via confusió de tipus a V8 n’hi ha prou per exposar-les. A continuació expliquem què passa realment, qui ho explota i com recuperar l’avantatge — començant per actualitzar a Stable 140.0.7339.185/.186 i endurir el runtime amb una postura Zero-DOM.

Què revela el Chrome V8 zero-day CVE-2025-10585

CVE-2025-10585 és una fallada de memòria al motor V8 — una type confusion al runtime JavaScript/WebAssembly. Una dada es pren per una altra i obre un pas on un script pot executar codi només en visitar una pàgina parany. El Google TAG va confirmar explotació in the wild quan es van publicar les versions 140.0.7339.185/.186 (Windows/Mac) i 140.0.7339.185 (Linux); Android 140.0.7339.155. En breu: l’atac va precedir el pegat.

Dues conseqüències.

1. La compromissió pot ser silenciosa: cap indicador visual.
2. Un cop el codi s’executa, el navegador deixa de ser un contenidor i esdevé un corredor: cookies, tokens, extensions i sessions al núvol es converteixen en portes laterals a l’abast.

Zero-day Chrome V8 el 2025: la cadència

El patró es repeteix: fallades de memòria a V8 al llarg de l’any, sincronitzades amb campanyes en curs. Manté una bretxa persistent entre explotació i pegat, sobretot quan permet RCE.

Mercat: un zero-day fiable de V8 (RCE/escapada de sandbox) sovint supera els 500.000 $.

Qui explota un Chrome V8 zero-day com CVE-2025-10585?

Tres esferes convergeixen. Equips cibercriminals monetitzen sessions i comptes via publicitat maliciosa i sites compromesos. Actors alineats amb estats l’empren amb parcimònia i precisió per travessar silenciosament fronteres tècniques d’organitzacions escollides. Intermediaris avaluen fiabilitat i abast abans d’encaixar una cadena d’explotació. L’atribució TAG apunta a un teatre d’actors estatals.

Risc sectorial i exemples

• Administració pública — portals d’e-gov, consoles d’administració.
• Finances i assegurances — tenants SaaS i banca en línia.
• Sanitat — sistemes clínics i missatgeria sensible.
• Energia/indústria — entorns IT/OT híbrids.
• Mobilitat — ecosistemes Android i flotes corporatives.

Exemples il·lustratius — evita atribuir sense confirmació oficial.

Impacte en l’usuari: d’un clic ordinari a pèrdua de sobirania

Una sola pàgina pot plantar codi que observa i desvia la vida d’una pestanya. L’usuari no veu res; el navegador transporta cookies, tokens i extensions, que esdevenen palanques d’elevació i persistència. El risc és sistèmic: molts serveis tracten el navegador com un espai de confiança. Un zero-day V8 recorda que no ho és.

Què fer davant de CVE-2025-10585: tracta el navegador com un runtime hostil

Actualitza a 140.0.7339.185/.186 (Windows/Mac) o 140.0.7339.185 (Linux) via Ajuda → Quant a Google Chrome; Android: 140.0.7339.155. Separa usos (perfil/VM dedicats per a operacions sensibles), redueix superfície (desactiva WebAssembly on sigui possible, limita JIT en tercers crítics), governa extensions (llista blanca, auditoria, sense sideloading) i segueix els butlletins oficials.

En una línia: aplica pegats ràpid, aïlla allò crític i desbrossa el navegador.

{
  "ExtensionInstallAllowlist": ["<IDs>"],
  "ExtensionInstallBlacklist": ["*"],
  "URLAllowlist": ["https://intra.example.tld/*"],
  "URLBlacklist": ["*"],
  "DefaultPopupsSetting": 2,
  "JavascriptAllowedForUrls": ["https://intra.example.tld/*"],
  "AutofillAddressEnabled": false,
  "PasswordManagerEnabled": false,
  "WebAssemblyEnabled": false
}

Per què està lligat al DOM — i a la nostra crònica de Clickjacking

Una RCE a V8 (CVE-2025-10585) i el clickjacking d’extensions basat en DOM poden acabar igual: si els secrets travessen el DOM o resideixen a la memòria del navegador, són accessibles. La primera via (RCE V8) pren control del procés; la segona (UI-redressing/BITB) força secrets en un DOM parany. En tots dos casos, el DOM és la superfície d’exfiltració.

• Superfície comuna: DOM i memòria del navegador (autofill, cookies, tokens, passkeys sincronitzades, extensions).
• Vies d’atac: motor (RCE V8) o interfície (overlays, iframes, focus(), Shadow DOM).
• Mitigació convergent: aïllar usos, governar extensions i adoptar Zero-DOM (secrets fora de DOM/procés, RAM efímera i consentiment físic).

Lectura relacionada… ⤵

Vulnerabilitat Passkeys: Les Claus d’Accés Sincronitzades no són Invulnerables

Versions corregides i cronologia

Anatomia — type confusion a V8

El cursor parpelleja. Al darrere, la memòria està “preparada”: heaps groomats, objectes mal etiquetats, baranes apartades. V8 interpreta una cosa per una altra; la pàgina esdevé vehicle. Cap avís. L’exploit parla el llenguatge ordinari del web — esdeveniments, focus, render — per aterrar execució.

Després del pas — del contenidor al corredor

Un cop el codi corre, el navegador deixa de ser capsa i es transforma en passadís. Cookies i tokens són equipatge; les extensions, portes laterals; les sessions al núvol, una galeria d’estances obertes. No cal ariet: n’hi ha prou amb un pas rutinari.

Actors i incentius

D’una banda, equips criminals recullen sessions per revenda massiva. De l’altra, grups alineats amb estats apunten amb precisió, lligant zero-days a portals coneguts. Al mig, intermediaris compren cadenes d’explotació com si fossin infraestructura: fiabilitat, abast, discreció.

Reescriptura sobirana (Zero-DOM)

Hi ha una versió d’aquesta història on la pestanya compromet el navegador… i no troba res a robar.

• Els secrets no toquen mai el DOM.
• No resideixen al procés del navegador.
• No circulen mai en clar.

Identitats, OTP, passkeys i claus privades viuen en maquinari fora de línia. Només apareixen com a fantasmes efímers a la RAM, desencadenats per una acció física.

Tecnologies sobiranes

• PassCypher HSM PGP: cada secret es vincula a una URL esperada; desviacions, refusades. Contenidors xifrats fins a decisió física verificable.
• PassCypher NFC HSM: toc NFC abans de qualsevol injecció. El navegador només veu transport, no contingut.
• SeedNFC HSM: cold-wallet NFC simplificat. Amb Android NFC + emulador HID-BLE, injecta claus sense portapapers ni DOM.
• EviKeyboard BLE (HID-BLE): senyal xifrat AES-128-CBC; injecció fora de DOM i portapapers.

Senyals febles

Controls ràpids MDM/GPO

• Força actualització i reinici — Intune/JAMF/Workspace ONE: política de Chrome + data límit de relançament.
• Flotes Android — Desplegament via Managed Play a 140.0.7339.155; verifica informes de compliment.
• Desactiva WebAssembly si no és necessari; restringeix JIT en àmbits crítics.
• Governança d’extensions — només llista blanca; sense sideloading; auditoria de permisos.

Què no hem cobert

Ometem intencionadament PoC d’explotació i reproduccions pas a pas. No entrem en bases d’enduriment sectorials ni en l’economia dels mercats d’exploits. Objectiu: exposar el risc sistèmic i mostrar per què un enfocament Zero-DOM de maquinari canvia el desenllaç. Perspectiva — Dissenya per al fracàs elegant: assumeix que el navegador pot caure sense endur-se la teva identitat.

PMF CVE-2025-10585